Je dois mettre mon organisation luxembourgeoise en conformité au considérant 94 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 94 NIS 2 — Considérant 94

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 94

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(94)

Les États membres peuvent confier le rôle des autorités compétentes pour les services de confiance aux organes de contrôle désignés en vertu du règlement (UE) no 910/2014 afin d’assurer le maintien des pratiques actuelles et de tirer parti des connaissances et de l’expérience acquises dans le cadre de l’application dudit règlement. En pareil cas, les autorités compétentes en vertu de la présente directive devraient coopérer étroitement et en temps utile avec ces organes de contrôle, en échangeant les informations pertinentes afin de garantir une supervision efficace et le respect, par les prestataires de services de confiance, des exigences énoncées dans la présente directive et dans le règlement (UE) no 910/2014. Le cas échéant, le CSIRT ou l’autorité compétente en vertu de la présente directive devrait informer immédiatement l’organe de contrôle désigné en vertu du règlement (UE) no 910/2014 de toute cybermenace ou incident important notifié dans le domaine de la cybersécurité affectant les services de confiance, ainsi que de toute violation de la présente directive par un prestataire de services de confiance. Aux fins de la notification, les États membres peuvent utiliser, le cas échéant, le point d’entrée unique mis en place pour effectuer une notification commune et automatique à la fois à l’organe de contrôle désigné en vertu du règlement (UE) no 910/2014 et au CSIRT ou à l’autorité compétente en vertu de la présente directive.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative à la cybersécurité, modifiée par la loi du 28 juillet 2025

Au Luxembourg, l'organe de contrôle eIDAS est l'ILNAS (Institut Luxembourgeois de la Normalisation, de l'Accréditation, de la Sécurité et qualité des produits et services), tandis que l'autorité NIS 2 est l'ILR. La loi du 28 juillet 2023 relative à la cybersécurité (modifiée par la loi du 28 juillet 2025) n'a pas encore fusionné les deux guichets : un prestataire de services de confiance qualifié luxembourgeois (LuxTrust, POST, etc.) doit donc notifier en parallèle ILNAS et ILR, avec le CSIRT national (GOVCERT.LU) en copie pour les incidents significatifs.

Pratique Luxgap : nous préconfigurons le Trust Service Dispatcher avec les trois destinataires luxembourgeois (ILNAS, ILR, GOVCERT.LU) et les formulaires officiels en vigueur, pour éviter tout oubli déclaratif lors d'un incident affectant une AC ou un service d'horodatage qualifié.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Les prestataires de services de confiance (eIDAS) tombent dans une double supervision sans le savoir : l'organe de contrôle eIDAS d'un côté, l'ILR au titre de NIS 2 de l'autre. En pratique, une notification d'incident envoyée uniquement à l'ILR sans alerter l'organe eIDAS (ou inversement) exposé le prestataire à un constat de manquement déclaratif. Le considérant 94 invite les États membres à fusionner les guichets, mais tant que ce point d'entrée unique n'est pas formalisé, c'est au prestataire de notifier en parallèle, dans les mêmes délais courts (24h pour l'alerte initiale NIS 2).

Le test 'continuité de supervision' pour les prestataires eIDAS

Identifier formellement vos deux autorités : organe de contrôle eIDAS et autorité NIS 2 compétente.
Cartographier les déclencheurs de notification : incident significatif NIS 2, violation eIDAS article 19, cybermenace majeure.
Préparer un modèle unique de notification qui satisfait les deux régimes simultanément (champs ENISA + champs eIDAS).
Documenter la chaîne d'information interne : qui détecte, qui qualifié, qui notifié, qui archive la preuve.
Tester l'exercice au moins une fois par an avec un scénario de cyberattaque sur l'autorité de certification ou le module HSM.
Conserver les accusés de réception des deux autorités comme preuve opposable d'accountability.

Comment Luxgap automatise ce risque

Notre Luxgap Trust Service Dispatcher transforme la double notification eIDAS + NIS 2 en un envoi unique, horodaté et opposable. L'outil détecte automatiquement un incident affectant un composant de service de confiance (autorité de certification, horodatage qualifié, signature à distance, HSM, RA), qualifié sa gravité selon les critères ENISA et eIDAS, puis émet une notification simultanée à l'organe de contrôle eIDAS et à l'ILR en respectant les délais 24h / 72h / rapport final.

Surveille en continu les composants critiques eIDAS (CA, OCSP, TSA, HSM) via intégrations natives avec Microsoft Defender, CrowdStrike, Wazuh et les logs PKCS#11 des HSM Thales/Utimaco.
Classifie l'incident selon la double grille : article 19 eIDAS (perte d'intégrité, indisponibilité) et article 23 NIS 2 (incident significatif).
Génère deux notifications synchronisées préremplies, dans les formats attendus par chaque autorité, prêtes à envoyer en un clic.
Trace cryptographiquement chaque étape (détection, qualification, envoi, accusé) dans un journal scellé opposable lors d'un audit conjoint.
Alerte instantanément via Teams ou Slack le RSSI, le DPO et le responsable conformité eIDAS dès le déclenchement du seuil de gravité.
Produit le rapport final de 30 jours consolidé pour les deux autorités, avec analyse de cause racine et plan de remédiation.

Disponible en complément d'un mandat CISO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez une démonstration et nos équipes préparent un exercice de notification simulée sur votre architecture eIDAS réelle, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 94

Ils nous font confiance

Avant de discuter